Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Van toepassing op:
SQL Server 2019 (15.x) en hoger - alleen Windows Azure SQL Database
In Always Encrypted is een sleutelrotatie een proces waarbij een bestaande kolomhoofdsleutel of een kolomversleutelingssleutel wordt vervangen door een nieuwe sleutel. In dit artikel worden use cases en overwegingen beschreven voor sleutelrotatie die specifiek is voor Always Encrypted met beveiligde enclaves wanneer de eerste sleutel en/of de doelsleutel (nieuwe) een enclavesleutel is. Zie Overzicht van sleutelbeheer voor Always Encrypted voor Always Encrypted voor algemene richtlijnen en processen voor het beheren van Always Encrypted-sleutels.
Mogelijk moet u een sleutel roteren om beveiligings- of nalevingsredenen. Als er bijvoorbeeld een sleutel is aangetast of als het beleid van uw organisatie vereist dat u regelmatig sleutels vervangt. Bovendien biedt Always Encrypted met sleutelrotatie van beveiligde enclaves een manier om de functionaliteit van de beveiligde enclave aan de serverzijde in of uit te schakelen voor uw versleutelde kolommen.
- Wanneer u een sleutel vervangt die niet is ingeschakeld voor enclaves door een enclave-sleutel, ontgrendelt u de functionaliteit van de beveiligde enclave om query's uit te voeren op kolommen die zijn beveiligd met de sleutel. Zie Always Encrypted inschakelen met beveiligde enclaves voor bestaande versleutelde kolommen voor meer informatie.
- Wanneer u een enclavesleutel vervangt door een sleutel die niet is ingeschakeld voor enclaves, schakelt u de functionaliteit van de beveiligde enclave uit om query's uit te voeren op kolommen die zijn beveiligd met de sleutel.
Als u alleen om beveiligings-/nalevingsredenen een sleutel roteert en geen enclaveberekeningen voor uw kolommen wilt in- of uitschakelen, moet u ervoor zorgen dat de doelsleutel dezelfde configuratie heeft met betrekking tot enclaves als de bronsleutel. Bijvoorbeeld, als de bronsleutel enclave-ingeschakeld is, moet de doelsleutel ook enclave-ingeschakeld zijn.
De onderstaande stappen bevatten koppelingen naar gedetailleerde artikelen, afhankelijk van uw rotatiescenario:
Een nieuwe sleutel inrichten (een kolomhoofdsleutel of een kolomversleutelingssleutel).
- Zie de sectie Enclave-sleutels inrichten, om een nieuwe enclave-ingeschakelde sleutel in te richten.
- Zie Always Encrypted-sleutels inrichten met behulp van SQL Server Management Studio en Always Encrypted-sleutels inrichten met behulp van PowerShell om een sleutel in te richten die niet enclave-ingeschakeld is.
Opmerking
Wanneer u Azure Key Vault als sleutelarchief gebruikt, wordt roulatie van door de klant beheerde sleutels niet ondersteund. Zorg ervoor dat de nieuwe door de klant beheerde sleutel zich in dezelfde tenant bevindt als de bestaande sleutel.
Vervang een bestaande sleutel door de nieuwe sleutel.
- Als u een kolomversleutelingssleutel roteert en zowel de bronsleutel als de doelsleutel enclave-ondersteund zijn, kunt u de rotatie ter plaatse uitvoeren (waarbij uw gegevens opnieuw worden versleuteld). Zie Kolomversleuteling in-place configureren met Always Encrypted met beveiligde enclaves voor meer informatie.
- Zie Always Encrypted-sleutels roteren met BEHULP van SQL Server Management Studio en Always Encrypted-sleutels roteren met behulp van PowerShell voor gedetailleerde stappen voor het roteren van sleutels.
Verwante inhoud
- Transact-SQL-instructies uitvoeren met behulp van beveiligde enclaves
- Kolomversleuteling direct configureren met Always Encrypted en beveiligde enclaves
- Always Encrypted met beveiligde enclaves inschakelen voor bestaande versleutelde kolommen
- Toepassingen ontwikkelen met Always Encrypted met beveiligde enclaves
- Sleutels beheren voor Always Encrypted met beveiligde enclaves